Linux/Cdorked.A: Schwer entdeckbare Backdoor für Apache-Server
Backdoor auf hunderten Apache-Servern (Bild: Apache Software Foundation)

Linux/Cdorked.A Schwer entdeckbare Backdoor für Apache-Server

Sicherheitsexperten haben eine Schadsoftware entdeckt, die nur ein modifiziertes httpd-Binary verwendet. Alles andere passiert im Arbeitsspeicher. Die Angreifer sollen bereits hunderte Apache-Server unter ihre Kontrolle gebracht haben. Administratoren sollten ihre Server überprüfen.

Anzeige

Linux/Cdorked.A ist eine Backdoor für Apache-Server, die von einem Administrator nur schwer entdeckt werden kann. Mitarbeiter der Firmen Eset und Sucuri haben bereits einen Teil der Backdoor analysiert. Cdorked greift Hostingsysteme an, die per cPanel konfiguriert werden. Die Analyse wird dabei durch verschiedene Mechanismen erschwert. Eset gibt etwa an, dass normale Apache-Logs keine Hinweise geben, dass das eigene System übernommen wurde. Auch Spuren auf dem Dateisystem hinterlässt die Schadsoftware kaum. Stattdessen wird vor allem ein 6 MByte großer Teil des Arbeitsspeichers für die laufende Konfiguration verwendet. Befehle bekommt die Schadsoftware über verschleierte HTTP-Requests.

Nur eine Datei wird manipuliert

Nur das httpd-Binary wird beim Angriff modifiziert, ohne dass das Dateidatum verändert würde. Zudem wird die Datei mit dem Immutable Bit versehen, um den Zugriff zu erschweren. Der Administrator muss über das chattr-Werkzeug erst einmal an die Datei kommen, um sie dann durch eine saubere Version zu ersetzen.

Auch die Analyse von außen wird erschwert. Pro Tag und IP-Adresse verändert der kompromittierte Webserver nur ein einziges Mal sein Verhalten. Dann wird ein Anwender, der die Webseite besucht, per Redirect umgeleitet. Damit kein weiterer Redirect durchgeführt wird, speichert der Webserver beim Besucher einen Cookie. Zudem leitet die Schadsoftware keine Admin-Zugriffe um. Will der Admin etwa auf seine Konfiguration schauen, wird ebenfalls ein Cookie gesetzt.

Bei erfolgter Umleitung findet sich der Besucher der ursprünglichen Webseite woanders wieder. Hier hören die Analysen der beiden Sicherheitsfirmen auf. Klar ist bisher nur, dass die neuen Ziele Blackhole Exploit Packs verwenden, um dann den Anwender zu infizieren. Mit solchen Kits werden in der Regel zahlreiche Sicherheitslücken angegriffen. Dabei sind nicht nur Java, Flash und PDF das Ziel, sondern häufig auch der Browser. Ist dieser veraltet und hat Sicherheitslücken, kann nicht ausgeschlossen werden, dass der Rechner des Anwenders beim Besuch eines solchen Redirects übernommen wird. Ein Virenscanner reicht als alleiniger Schutz häufig nicht aus.

Eset und Sucuri empfehlen allen Apache-Admins mit cPanel, ihre Server auf eine Infektion durch die sehr fortschrittliche Schadsoftware zu untersuchen. Die Analyse ist noch nicht abgeschlossen. Sowohl Eset als auch Sucuri stellen noch allerhand Vermutungen auf, was das Vorgehen der Schadsoftware angeht. Denkbar sind die Vermietung der Infrastruktur für Spamverteilung, die weitere Verbreitung von Schadsoftware oder auch Angriffe. Bisher ist zudem unklar, wie die Server überhaupt gehackt wurden. Eset und Sucuri gehen bisher nicht davon aus, dass eine Sicherheitslücke verwendet wurde.

Linux/Cdorked.A zeigt, welcher Aufwand mittlerweile betrieben wird, um an Rechner heranzukommen und gleichzeitig eine Entdeckung zu vermeiden. Die Software verdeutlicht zudem, dass der reguläre Netzbesucher das Ziel solcher Angriffe ist. Ciscos Security Report vom Februar 2013 nannte auf dem ersten Platz Angriffe über dynamische Inhalte und CDN-Systeme (18,3), dicht gefolgt von Angriffen über Werbung (16,8 Prozent). Spielewebseiten werden zu 6,5 Prozent für Angriffe verwendet und Onlineshops erreichen immerhin noch 3,6 Prozent. Webseiten mit illegalen Softwareangeboten sind für Kriminelle kaum noch von Interesse.

Nachtrag vom 28. April 2013, 16:04 Uhr

Der Debian-Entwickler Adrian Glaubitz machte uns darauf aufmerksam, dass eine Kontrolle bei Distributionen mit signierten Paketen beispielsweise leicht über das Werkzeug debsums durchgeführt werden kann. Manipulierte Apache-Installationen sollten so einfach aufzuspüren sein. Außerdem hat Eset ein eigenes Tool veröffentlicht.


Anonymer Nutzer 30. Apr 2013

Darum prüft man so etwas von einer vertrauenswürdigen Maschine aus, mit zur Version...

rkr 30. Apr 2013

Kann es sein, dass das Script unter Ubuntu Server 12.04 immer anschlaegt?

elgooG 29. Apr 2013

Vor allem das "Nur eine Datei wird manipuliert" finde ich schon etwas dreist. Ja klar, es...

silentburn 29. Apr 2013

danke fürs mitteilen

Poison Nuke 28. Apr 2013

da es sich laut Meldung bisher scheinbar nur um cPanel Server handelt, scheint es über...

Kommentieren



Anzeige

  1. IT-Specialist Partner + TV Audience Measurement (TVAM) Coordinator (m/w)
    GfK SE, Nürnberg
  2. Mitarbeiter in der Beratung (m/w) Produktdatenmanagement Anlauf- und Supply Chain Management
    Daimler AG, Stuttgart-Untertürkheim
  3. Entwickler (m/w) Controllingsysteme / SAP
    Bitburger Braugruppe GmbH, Bitburg
  4. Spezialist/-in für Datenverkabelungen und Multimedia für Schulen
    Landeshauptstadt Stuttgart, Stuttgart

 

Detailsuche


Folgen Sie uns
       


  1. Wissenschaft

    Wenn der Quantencomputer spazieren geht

  2. Cloud

    Erstmals betriebsbedingte Kündigungen bei SAP

  3. Microsoft

    Windows 10 Technical Preview ist da

  4. Omnicloud

    Fraunhofer-Institut verschlüsselt Daten für die Cloud

  5. Anonymisierung

    Tor könnte bald in jedem Firefox-Browser stecken

  6. Gutscheincodes

    Taxi-Unternehmer halten auch Ubertaxi für illegal

  7. Chris Roberts

    "Star Citizen ist heute besser als ich es mir erträumte"

  8. Leistungsschutzrecht

    Google keilt gegen Springer und Burda

  9. Onlinehändler

    Zalando geht an die Börse

  10. Panoramafreiheit

    Wikimedia erreicht Copyright-Änderungen in Russland



Haben wir etwas übersehen?

E-Mail an news@golem.de



Deutsche Telekom: 300.000 von Umstellung auf VoIP oder Kündigung betroffen
Deutsche Telekom
300.000 von Umstellung auf VoIP oder Kündigung betroffen
  1. Deutsche Telekom Umstellung auf VoIP oder Kündigung
  2. Entlassungen Telekom verkleinert Online-Innovationsabteilung stark
  3. Mobile Encryption App angeschaut Telekom verschlüsselt Telefonie

Nicholas Carr: Automatisierung macht uns das Leben schwer
Nicholas Carr
Automatisierung macht uns das Leben schwer
  1. HP Proliant m400 Moonshot-Microserver mit 64-Bit-ARM-Prozessoren
  2. Entwicklung vorerst eingestellt Notebooks mit Touch-Displays sind nicht gefragt
  3. Computerchip IBM stellt künstliches Gehirn vor

Trainingscamp NSA: Ex-Spione gründen High-Tech-Startups
Trainingscamp NSA
Ex-Spione gründen High-Tech-Startups
  1. Vorratsdatenspeicherung NSA darf weiter Telefondaten von US-Bürgern sammeln
  2. Prism-Programm US-Regierung drohte Yahoo mit täglich 250.000 Dollar Strafe
  3. NSA-Ausschuss Grüne "frustriert und deprimiert" über Schwärzung von Akten

    •  / 
    Zum Artikel